Qu’est-ce que le RGPD ?
Le RGPD, pour Règlement Général pour la Protection des Données, GDPR en anglais, est une réglementation européenne qui entre en application ce vendredi 25 mai 2018. Son but est d’assurer à chacun le contrôle et la protection des données à caractère personnel.
En France, c’est la CNIL, la Commission Nationale de l’Informatique et des Libertés qui en assurera le respect. Mais votée au parlement européen le 27 avril 2016, elle sera mise en application au niveau mondial.
Qu’est-ce qu’une donnée à caractère personnel ?
Concrètement, une donnée à caractère personnel est toute information permettant d’identifier une personne physique : nom, prénom, adresse mail, numéro de téléphone, travail, adresse IP…
Suis-je concerné ?
Il y a de fortes chances que vous soyez concerné par la RGPD puisque cette réglementation s’applique à :
- Toute personne physique ou morale qui traite des données personnelles de citoyens de l’Union Européenne.
Les grandes entreprises comme les petites associations ou les paroisses sont donc directement concernées.
Si vous êtes à l’étranger, ou si votre serveur internet l’est, vous êtes également concerné à partir du moment ou vous traitez des données de citoyens de l’Union Européenne.
A noter
La RGPD ne concerne pas que votre site internet mais aussi toutes les données personnelles que vous traitez, y compris en interne ! (données de vos salariés, bénévoles…)
Qu’est-ce que je risque si je ne suis pas en conformité ?
En cas de non respect de la RGPD, les sanctions peuvent être lourdes puisqu’elles peuvent se traduire par une amende soit d’un montant de maximum 20 millions d’euros, soit s’élevant à 4 % du chiffre d’affaires annuel mondial de l’organisation, en choisissant le montant le plus élevé parmi eux.
Les sanctions devraient malgré tout être progressives avec d’abord un avertissement, puis une suppression du traitement des données, jusqu’aux grosses amendes.
Comment rendre votre site conforme à la RGPD ?
Pour les sites vitrine présentant l’activité de l’organisme et proposant éventuellement l’abonnement à une lettre d’information, il faut informer de manière claire et transparente les internautes sur les informations récoltées et l’utilisation qui va en être faite.
Concrètement, si ce n’est pas déjà le cas, il faut créer une page de politique de confidentialité mentionnant :
- Les coordonnées du responsable du site, de l’éditeur et de l’hébergeur
- Les types de données qui sont récoltées
- L’utilisation qui va être faite de ces données
- Le temps durant lequel vont être stockées ces données
- Les mesures de sécurité prises pour protéger ces données.
Cette page de politique de confidentialité est à faire apparaître lors de chaque collecte de données, par exemple dans les formulaires de contact et/ou d’abonnement à votre lettre d’information. L’accord de l’utilisateur doit être obtenu, avec par exemple une case à cocher « J’ai lu et j’accepte la politique de confidentialité ».
Pour les formulaires d’abonnement, il faut également indiquer à l’utilisateur qu’il peut se désabonner à tout moment.
L’utilisateur doit également avoir accès à ses données personnelles et en demander la suppression aisément.
Dans le cas de l’utilisation de cookies, l’internaute doit là encore être au courant de leur existence et donner son consentement.
Pour les sites proposant de la vente en ligne, il faut en plus sécuriser l’ensemble du parcours de vente en le passant en https, en imposant des mots de passe complexes, en ne conservant pas leurs données bancaires et en sécurisant la transaction bancaire.
Désigner un pilote
Il est conseillé, voir imposé dans les structures manipulant beaucoup de données ou pour les organismes publics, de désigner un DPO, Data Protection Officer, un délégué à la protection des données. Il sera le chef d’orchestre de la conformité en matière de protection des données.
Concrètement il aura une mission d’information, de conseil et de contrôle en interne.
Mettre en place un registre des données personnelles
Il est nécessaire de tenir un registre sur les données personnelles, en gros une documentation recensant les différents traitements des données personnelles, les catégories de données personnelles, les objectifs de ces traitements de données et leurs acteurs.
Ce qui revient au final pour chaque traitement de données à répondre aux questions Qui, Quoi, Pourquoi, Où, Jusqu’à quand et Comment ?
Accès, modification et suppression des données personnelles
L’utilisateur doit pouvoir accéder, modifier ou supprimer de façon simple et rapide ses données personnelles. Nous vous conseillons de mettre en place une page dédiée à ce processus.
Remarque
Cet article se veut une source d’information et de sensibilisation à la mise en place de la RGPD. Nous ne sommes cependant pas juristes. Pour toute question ou doute concernant votre mise en conformité, contactez un cabinet d’avocats.